Как можно осуществить шифрование трафика?

Question

[loosername]

Заранее благодарю за Ваши ответы.
Итак, есть реализованный алгоритм шифрования на языке C#. Необходимо с помощью этого алгоритма осуществить шифрование трафика идущего на сервер. Подскажите, каким образом это можно сделать или где можно посмотреть примерную реализацию, или что стоит почитать чтобы разобраться с вопросом.

Comments

[Everything_is_not_so_bad]

Нужно почитать про SSL.

[xmoonlight]

Роман Мирр, я прочитал: so-шник можно свой делать.

Answer 1

[#]

Подскажите, каким образом это можно сделать

очень просто - там где отправляете данные*, там их и шифруете. где принимаете - там и расшифровываете. как безопасно обмениваться ключами, если они сеансовые - это уже надо все таки поднимать планку эрудиции повыше, книги, статьи, практика

upd * данные это строка, массив байтов, или любые другие. где отправляете блок данных в канал передачи - там и шифруете перед отправкой. потом уже будете совершенствоваться по мере необходимости

Comments

[xmoonlight]

Это вообще не ответ на вопрос loosername.
Аналог ответа:

Бит: это или 1, или 0.
Куб - это не шар, шар - это не куб.

[#]

xmoonlight, а твой ответ аналог

я представитель канадской фирмы, и сейчас этот пылесос сделает вас счастливым!

[xmoonlight]

#, ну, да... конечно)
Отличный аргумент куратора тега C#

[#]

xmoonlight,

отличный аргумент.. xmoonlight

браво!

[#]

xmoonlight, ну что же..
1 - автор ни где не предоставляет не то что фрагментов кода, даже намеков - как он обменивается данными с сервером?
- это сокет?
- это запросы?
2 - по тому и ответ в точности таков как есть
- где отправляешь, там и шифруй

так что свободен. со своим пылесосом

[xmoonlight]

#,

Необходимо с помощью этого алгоритма осуществить шифрование трафика идущего на сервер

ну, скажем есть отличия " шифрования трафика" от "обмена зашифрованными данными".
И трафик - подразумевает туннелирование любого типа.
А обмен данными - как раз, как в твоём ответе.

loosername, у Вас что планируется?

Answer 2

[Владимир Коротенко]

Вам нужно реализовать наследовать CryptoStream и после уже его использовать для передачи с вашей реализацией.
Правда единственное что приходит в голову, вам нужно реализовать что то сертифицированное для ФСТЕК.
Но тогда почему вы тут спрашиваете?
https://docs.microsoft.com/ru-ru/dotnet/api/system...

Comments

[xmoonlight]

И это не ответ вовсе!

есть реализованный алгоритм шифрования на языке C#

Правильно - это использовать модульный cross-platform подход на устоявшихся принципах интеграции. А здесь - только SSL подходит.
Или (что хуже...) использование mono-develop для создания нативного приложения на C# коде.

[Владимир Коротенко]

xmoonlight, ты забыл добавить если используется гетерогенная среда. И есть отдел разработки и это все документированно в книге какого то цвета. А иначе это красноглазинг и головная боль для человека который придёт разгребать эти «гениальные» построения. DIXY

Answer 3

[Николай]

Ну либо SSL, либо просто отправлять из приложения на сервер в зашифрованном виде, а на сервере расшифровывать. Что именно не понятно?

Answer 4

[xmoonlight]

1. Читайте и создавайте свой openssl-модуль.

Отрывок из доки

ENGINE
======

With OpenSSL 0.9.6, a new component was added to support alternative
cryptography implementations, most commonly for interfacing with external
crypto devices (eg. accelerator cards). This component is called ENGINE,
and its presence in OpenSSL 0.9.6 (and subsequent bug-fix releases)
caused a little confusion as 0.9.6** releases were rolled in two
versions, a "standard" and an "engine" version. In development for 0.9.7,
the ENGINE code has been merged into the main branch and will be present
in the standard releases from 0.9.7 forwards.

There are currently built-in ENGINE implementations for the following
crypto devices:

o Microsoft CryptoAPI
o VIA Padlock
o nCipher CHIL

In addition, dynamic binding to external ENGINE implementations is now
provided by a special ENGINE called "dynamic". See the "DYNAMIC ENGINE"
section below for details.

2. Можно сразу SSL-Tunnel подправить.

По первому и второму методу можно будет создавать шифрование в таком виде:


Где можно будет применять либу?
Варианты линков сходу:
1. https://www.opennet.ru/base/net/openvpn_x509.txt.html
2. https://httpd.apache.org/docs/2.4/ssl/
3. https://kb.justhost.ru/article/1952

Comments

[Владимир Коротенко]

Зачем для C# создавать костыль? Используя OpenSSL ?

[xmoonlight]

Владимир Коротенко, раскрой вопрос: не понял ничего...)

[Владимир Коротенко]

xmoonlight, C# содержит родную реализацию криптографии, если нет особых причин, лучше использовать ее. На моей памяти пришлось подключать OpenSSL только ради токенов отдаваемых Yandex Cloud.
Тоже самое относится и к созданию потока.
https://docs.microsoft.com/ru-ru/dotnet/api/system...

Зачем левый код?

[xmoonlight]

Владимир Коротенко, вопрос ТС прочитай ещё раз.

[Владимир Коротенко]

xmoonlight,

Итак, есть реализованный алгоритм шифрования на языке C#. Необходимо с помощью этого алгоритма осуществить шифрование трафика идущего на сервер. Подскажите, каким образом это можно сделать или где можно посмотреть примерную реализацию, или что стоит почитать чтобы разобраться с вопросом.

Каким боком тут OpenSSL и C ?

[xmoonlight]

Владимир Коротенко, таким, что можно интегрировать алгоритм в openssl окружение, что гораздо проще, чем строить свою структуру.

[Владимир Коротенко]

xmoonlight,

С чего вы взяли?
В случае C#
1. Расширить один класс для провайдера
2. Использовать стандартный класс из рантайма

В вашем случае
1. Найти специалиста в С (причем видимо неплохого)
2. Использовать левый класс вместо стандартного, и постоянно следить а что там обновилось
3. Использовать левую либу и следить за хранилищем сертификатов, списком отзывов и прочим
4. Ловить не очевидные ошибки при разработке и проде.

Просто объясните мне ваше решение, чем оно лучше.

[xmoonlight]

Владимир Коротенко, я объясню, если ты объяснишь, откуда набрал этот список:

1. Найти специалиста в С (причем видимо неплохого)
2. Использовать левый класс вместо стандартного, и постоянно следить а что там обновилось
3. Использовать левую либу и следить за хранилищем сертификатов, списком отзывов и прочим
4. Ловить не очевидные ошибки при разработке и проде.

[Владимир Коротенко]

1.

1. Читайте и создавайте свой openssl-модуль.

2.

Можно сразу SSL-Tunnel подправить.

3.

openssl verify

c:\bin\openssl>openssl verify
WARNING: can't open config file: /usr/local/ssl/openssl.cnf

4. см предыдущий ответ.

Причем скачал по ссылке с официального сайта. :/)

Ну вы что издеваетесь?
https://wiki.openssl.org/index.php/Binaries
https://indy.fulgan.com/SSL/

[xmoonlight]

Владимир Коротенко, в ответе - написано про модуль. Что непонятно? Создаём, подключаем и используем где угодно, где используется openssl.
PS: Где он используется, кстати?)

[Владимир Коротенко]

xmoonlight, Обычно на *nix системах, но вы советуете человеку использовать в C#. В этом то и мой вопрос

[xmoonlight]

Владимир Коротенко, ты попутал: у него реализация алгоритма на C#, а на чём сервер - неизвестно.
И что именно шифровать - тоже неизвестно.

Итак, есть реализованный алгоритм шифрования на языке C#. Необходимо с помощью этого алгоритма осуществить шифрование трафика идущего на сервер.

Поэтому, SSL-либа со своим алгоритмом - самый оптимальный вариант: подключить можно везде, где ставится openssl. А ставится/стоит он везде.

[Владимир Коротенко]

xmoonlight, Почему вы думаете что сервер не Windows в контексте C# ?
Зачем плодить лишние сущности? Может спросим у loosername что за сервер, и почему ему не подходят стандартные протоколы?

[xmoonlight]

Владимир Коротенко, ты русский язык понимаешь?))

Почему вы думаете что сервер не Windows в контексте C# ?

Где именно я так думаю?! Цитату сюда)

[Владимир Коротенко]

xmoonlight,

Поэтому, SSL-либа со своим алгоритмом - самый оптимальный вариант: подключить можно везде, где ставится openssl. А ставится/стоит он везде.

В среде Windows это костыль для поддержки каких то решений, причем костыль очень жестокий, вплоть до копирования в папку system32.

Утверждать что это подключать можно везде, как минимум заблуждаться.
И кроме того это должно документироваться, не поддерживается обновление если сам не настроишь. Зачем это? Не нравится windows переходите на любой дистриб никсов, где она встроена в систему и поддерживается на уровне пакетного менеджера.

[xmoonlight]

Владимир Коротенко,

В среде Windows это костыль для поддержки каких то решений, причем костыль очень жестокий, вплоть до копирования в папку system32.

где речь про Win шла у TC?

[Владимир Коротенко]

где речь про Win шла у TC?

Где у топикстартера шла речь про OpenSSL и C ?
И что вы пихаете небезопасное решение, в данном контексте ему?

[loosername]

Владимир Коротенко, спасибо за ваши комментарии. Сервер будет на C#. Стандартные протоколы не подходят, так как необходимо организовать шифрование трафика именно "моим" алгоритмом (это все для курсовой работы - отсюда и такое требование).

[xmoonlight]

Владимир Коротенко,

И что вы пихаете небезопасное решение, в данном контексте ему?

поясни...

[xmoonlight]

loosername, я предложил вариант, который позволит использовать ваш алгоритм шифрования внутри ssl (сам ssl ничего не шифрует, если кто не в курсе).
Считаю лучшим решением вне зависимости от платформы и языка написания сервера.

[Владимир Коротенко]

xmoonlight, Вместо стандартного механизма Windows update/apt upgrade

Вы предложили положить бинарник и забыть про него или создать регламент для обновления.
Кроме этого предложили кроме 1 приложения поддерживать 2, причем второе на другом языке.

Это все требует какой то базы знаний или хотя бы постоянной вашей памяти.
Как по мне не слишком хорошее решение.

[xmoonlight]

Владимир Коротенко,

Вместо стандартного механизма Windows update/apt upgrade

сказано было "своим алгоритом"! Какой нафиг апгрейд тут допустим при такой постановке задачи?!

PS: Обновляют почти всё через компиляцию исходного кода уже ежедневно, и никто при этом не жалуется.

[Владимир Коротенко]

xmoonlight, В моем дистрибе об этом не слышали. Это такой "малоизвестный" Debian и Ubuntu.
Единственный самосбор это OpenCV и dlib в этом случае самосбор оправдан.

Я говорю про OpenSSL. Который довольно часто патчится. Человек напишет свой кусок кода и будет ровно в 1 месте править. Все. У него не будет болеть голова о CVE, постоянном пересборе абсолютно левой либы.

[xmoonlight]

Владимир Коротенко, смотрю, что ты просто не понимаешь даже про что говоришь!
Поясни, что за "постоянный пересбор абсолютно левой либы"?
Назначение, расширение файла, как он будет использоваться и т.д. - поясни!

[Владимир Коротенко]

xmoonlight, OpenSSL Сама себя не соберёт и даже не скачается. Все это нужно делать руками. Поэтому зачем ты это посоветовал.

[xmoonlight]

Владимир Коротенко,
https://www.opennet.ru/base/net/openvpn_x509.txt.html
https://httpd.apache.org/docs/2.4/ssl/
https://kb.justhost.ru/article/1952
ещё?)

PS: loosername, просто посмотрите логику применения в линках.

[Владимир Коротенко]

xmoonlight, вы хоть иногда читаете на что ссылаетесь? Апач вообще не рекомендуется для установки в проде на windows.

[xmoonlight]

Владимир Коротенко, Что ты заладил Windows, Windows?!))
1. Где я писал про Windows?!
2. Где автор вопроса писал про Windows?!
Утрись))

Cross platform, open source .NET framework

Апач вообще не рекомендуется для установки в проде на windows.

Давно? Пруф есть?)

[#]

xmoonlight, нет дорогой. это у тебя ни в пень ни в колоду ответ. и ты еще и буйно за него упорствуешь

[xmoonlight]

#, не вопрос. аргументы какие? давай сравним и выберем лучшее!

[#]

xmoonlight, читай выше ))))))))))))))))))))))))))
али разучился?... ну ты и .... censored.. плохо на тебя карантин то действует

[Владимир Коротенко]

xmoonlight, выше автор написал. Вы не в состоянии прочитать? Кроме того есть устоявшиеся практики, они рекомендуют использовать уже готовые решения. А администрирование гетерогенных решений это вообще кошмар.